Exploits
注:本分类里内容并非全是协议的 bug,部分 "基于、使用" 这个协议的应用所存在的漏洞也算在其中,例如 dns 域传送漏洞,其并非 dns 协议本身的漏洞,为服务部署时的配置问题,但应用与 DNS 相关的业务,故此分类
补充和相关协议有关的知识点,不知道怎么分类,就放到这个部分了,例如:ja3,Shadow-TLS
免责声明
本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
大纲
DNS
ipv6
LDAP
RTSP
SMB
PPTP
SMTP
SNMP
SSH
SSL
VNC
Other
Ripple20
DNS
关于 DNS
DNS
CVE-1999-0532 dns 域传送漏洞
简介
DNS 服务器分为:主服务器、备份服务器和缓存服务器,在主备服务器之间同步数据库,需要使用 “DNS 域传送”。
域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。若 DNS 服务器配置不当,可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。
相关文章
POC | Payload | exp
子域接管漏洞
什么是子域接管
子域名接管是注册不存在的域名以获得对另一个域的控制权的过程
域名(例如 sub.ffffffff0x.com)将 CNAME 记录用于另一个域(例如 sub.ffffffff0x.com CNAME f0x.com)。
在某个时间点, f0x.com 到期并可供任何人注册。
由于未从 ffffffff0x.com DNS 区域删除 CNAME 记录,因此注册 f0x.com 的任何人都可以完全控制 sub.ffffffff0x.com,直到删除 DNS 记录。
通过使用子域接管,攻击者可以从合法域中发送网络钓鱼电子邮件,执行跨站点脚本(XSS)或发布不实言论信息等恶意行为。
子域接管不仅限于 CNAME 记录。NS,MX 甚至 A 记录(均不受此限制)也将受到影响。
相关文章/案例
https://0xpatrik.com/
相关资源
相关工具
DNS Rebinding
DNS Rebinding
ipv6
相关文章
相关工具
LDAP
描述
轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询,是 X.500 的一种简便的实现。
LDAP 是一种运行于TCP/IP之上的在线目录访问协议,主要用于目录中资源的搜索和查询。使用最广泛的LDAP服务如微软的ADAM(Active Directory Application Mode)和OpenLDAP.
相关文章
相关工具
https://directory.apache.org/studio/
LDAP注入
相关文章
MQTT
fofa: port="1883" && protocol="mqtt
描述
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议)。可以以极少的代码和有限的带宽,为远程设备提供实时可靠的消息服务,一种低开销、低带宽占用的即时通讯协议。MQTT协议运行于TCP之上,属于应用层协议。
相关文章
MQTT 相关工具
mqtt.fx
暴力破解
RTSP
描述
实时流媒体协议(RTSP)是一种网络控制协议,设计用于娱乐和通信系统,以控制流媒体服务器。该协议用于建立和控制终端之间的媒体会话。媒体服务器的客户端发出 VHS 风格的命令,如播放、录制和暂停,以方便实时控制媒体流从服务器到客户端(视频点播)或从客户端到服务器(语音录制)。
流媒体数据的传输本身不是 RTSP 的任务。大多数 RTSP 服务器使用实时传输协议 (RTP) 与实时控制协议 (RTCP) 相结合来传输媒体流。
暴力破解
SMB
相关文章
信息收集
MSF 模块
nmblookup
ngrep
nmap脚本
枚举用户
nmap脚本
rpcclient
enum4linux
获取共享
smbmap
smbclient
nmap
空会话
smbmap
rpcclient
smbclient
enum
enum4linux
匿名共享
smbclient
rpcclient
暴力破解
可以暴力破解来获得目标主机的 smb 访问。
IPC 爆破
非空连接爆破.bat
空连接爆破.bat
利用 NTLM 值破解 SMB
主要依靠钓鱼,不是很适合在实战中使用,内容见 https://www.hackingarticles.in/4-ways-capture-ntlm-hashes-network/
PPTP
相关文章
获得PPTP 口令
Windows系统拨号和宽带连接的配置信息存储在固定位置,路径如下: %APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk 查看该文件即可获得 PPTP 连接的配置信息,包括服务器 IP,不包含连接用户名和口令
windows 命令行下连接 PPTP VPN
kali 连接 PPTP VPN
暴力破解 PPTP 口令
相关工具
SMTP
描述
SMTP 为邮件协讫,默认端口 25.经常用来邮箱伪造,钓鱼攻击.
相关文章
相关工具
邮件检测
SPF : http://spf.myisp.ch/
MX : https://toolbox.googleapps.com/apps/checkmx
DMARC : https://www.agari.com/insights/tools/DMARC
枚举用户
可以通过 Telnet 连接,在未禁用上述 SMTP 命令的服务器上,使用上述命令手动枚举用户名.
可以看到两种方式均返回 root、bin 用户是存在的,admin 用户不存在.
smtp-user-enum - kali 自带
MSF 模块
smtp-enum-users - nmap 脚本
邮件伪造
相关文章
SPF邮件伪造
SPF 是 Sender PolicyFramework 的缩写,一种以 IP 地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的 SPF 记录,来确定发件人的 IP 地址是否被包含在 SPF 记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。SPF 可以防止别人伪造你来发邮件,是为了防范垃圾邮件而提出来的一种 DNS 记录,它是一种 TXT 类型的记录。
由于 SMTP 邮件服务商互相发送邮件是不需要认证的,邮件伪造也是利用这个特性来实现伪造任意发件人。
简单方法
swaks
Swaks 的全称是 Swiss Army Knife SMTP(SMTP 界的瑞士军刀),用于测试 SMTP 协议的各种操作.
kali 自带
配合 https://support.smtp2go.com/hc/en-gb
SNMP
相关文章
相关工具
snmp 弱口令
相关文章
利用
安装
yum -y install net-snmp-utilsUsage
SSH
相关文章
相关工具
版本扫描
libSSH
CVE-2018-10933 libSSH 认证绕过漏洞
概述
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。 通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的 SSH2_MSG_USERAUTH_REQUEST消息,攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。
相关文章
POC | Payload | exp
OpenSSH
OpenSSH(OpenBSD Secure Shell)是 OpenBSD 计划组的一套用于安全访问远程计算机的连接工具。该工具是 SSH 协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。
CVE-2015-5600 Openssh MaxAuthTries限制绕过漏洞
概述
OpenSSH 6.9 及之前版本的 sshd 中的 auth2-chall.c 文件中的‘kbdint_next_device’函数存在安全漏洞,该漏洞源于程序没有正确限制处理单链接中的 keyboard-interactive 设备。远程攻击者可借助 ssh -oKbdInteractiveDevices 选项中较长且重复的列表利用该漏洞实施暴力破解攻击,或造成拒绝服务。
相关文章
CVE-2018-15473 OpenSSH 用户枚举漏洞
概述
OpenSSH 7.7 及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
影响范围
OpenSSH 7.7及其以前版本
相关文章
POC | Payload | exp
MSF 模块
CVE-2020-15778 OpenSSH命令注入漏洞
概述
该漏洞编号 CVE-2020-15778。OpenSSH 的 8.3p1 及之前版本中的 scp 允许在 scp.c 远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数 linux 系统受影响。
相关文章
SunSSH
CVE-2020-14871 Oracle System Solaris PAM 组件缓冲区溢出漏洞
影响范围
Oracle Solaris 11 Oracle Solaris10 Oracle Solaris 9(已不支持,2014年已终止)
扫描
https://github.com/arthepsy/ssh-audit
MSF 模块
HASSH
https://github.com/salesforce/hassh
相关文章
SSL & TLS
关于 TLS
TLS
相关文章
相关工具
CVE-2014-0160 Heartbleed
简介
OpenSSL 是 OpenSSL 团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL 的 TLS 和 DTLS 实现过程中的 d1_both.c 和 t1_lib.c 文件中存在安全漏洞,该漏洞源于当处理 Heartbeat Extension 数据包时,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。以下版本的 OpenSSL 受到影响:1.0.1,1.0.1:beta1,1.0.1:beta2,1.0.1:beta3,1.0.1a,1.0.1b,1.0.1c,1.0.1d,1.0.1e,1.0.1f。
相关文章
POC | Payload | exp
单行命令批量检测
MSF 模块
CVE-2014-3566 SSL 3.0 POODLE 攻击信息泄露漏洞
简介
OpenSSL 1.0.1i 及之前版本中使用的 SSL protocol 3.0 版本中存在安全漏洞,该漏洞源于程序使用非确定性的 CBC 填充。攻击者可借助 padding-oracle 攻击利用该漏洞实施中间人攻击,获取明文数据。
相关文章
POC | Payload | exp
MSF 模块
CVE-2021-3449
简介
OpenSSL TLSv1.2 重新协商选项(默认开启)中存在一处空指针解引用,并导致拒绝服务。
影响范围
所有OpenSSL 1.1.1版本
POC | Payload | exp
CVE-2022-0778 OpenSSL 拒绝服务漏洞
相关文章
POC | Payload | exp
CVE-2022-3602
POC | Payload | exp
ja3(s)
https://github.com/salesforce/ja3
简介
ja3 是为特定客户端与服务器之间的加密通信提供了具有更高的识别度的指纹,是 TLS 协商的指纹。
ja3 由 ClientHello 的版本、可接受的加密算法、扩展列表中的每一个 type 值、支持的椭圆曲线和支持的椭圆曲线格式 生成
ja3s 由 Server Hello 版本、可接受的加密算法和扩展列表中的每一个 type 值生成
相关文章
如何计算ja3值
快速查看自己当前的 ja3 指纹
https://ja3er.com/json
相关工具
ja3 检测绕过
https://mp.weixin.qq.com/s/cX7-kHuIWebDH6r6UQ2I4w
https://mp.weixin.qq.com/s/fichyYFlR9noBIX3AeRmmg
指纹库
https://sslbl.abuse.ch/ja3-fingerprints/
https://github.com/salesforce/ja3/tree/master/lists
https://ja3er.com/getAllUasJson
jarm
https://github.com/salesforce/jarm
相关文章
jarm 规避
TLS Poison
相关资源
相关文章
描述
当客户端和服务器端初次建立 TLS 握手时(例如浏览器访问 HTTPS 网站),需要双方建立一个完整的 TLS 连接,该过程为了保证数据的传输具有完整性和机密性,需要做很多事情,如密钥协商出会话密钥,数字签名身份验证,消息验证码 MAC 等。这个过程是非常消耗资源的,而且当下一次客户端访问同一个 HTTPS 网站时,这个过程需要再重复一次,这无疑会造成大量的资源消耗。
为了提高性能,TLS/SSL 提供了会话恢复的方式,允许客户端和服务端在某次关闭连接后,下一次客户端访问时恢复上一次的会话连接。会话恢复有两种,一种是基于 session ID 恢复,一种是使用 Session Ticket 的 TLS 扩展。
基于 session ID 的会话恢复
每一个会话都由一个 Session ID 标识符标识,当建立一个 TLS 连接时,服务器会生成一个 session ID 给客户端,服务端保留会话记录,重新连接的客户端可以在 clientHello 消息期间提供此会话 ID,并重新使用此前建立的会话密钥,而不需要再次经历秘钥协商等过程。
TLS session id 在 RFC-5077 中有着详细描述,基本所有数据都可以用作会话标志符,包括换行符。
Session ticket 和 session id 作用类似,在客户端和服务端建立了一次完整的握手后,服务端会将本次的会话数据加密,但是 session ticket 将会话记录保存在客户端,而且与 session id 32 字节的大小不同,session ticket 可提供 65k 的空间,这就能为我们的 payload 提供足够的空间。
攻击思路
session id 是服务器提供给客户端的,如果我们构建一个恶意的 tls 服务器,然后将我们的恶意 session id 发送给客户端,然后通过 dns rebinding,将服务器域名的地址指向内网 ip 应用,例如 memcache,客户端在恢复会话时就会带上恶意的 session id 去请求内网的 memcache,从而攻击了内网应用。
大致流程如下:
利用受害者服务器向攻击者准备的 TLS Server 发起一个 HTTPS 请求
当受害者打开这个页面后,受害者客户端会查询相应的 DNS 记录,最终会在攻击者准备的 DNS 服务器查询到攻击者提供的解析记录
攻击者的 DNS 服务器回应一个 TTL 为 0 的结果,指向攻击者的 TLS Server 服务器。
客户端发送 Client Hello 消息
服务端返回 Server Hello 消息,并在响应包中设置 session_id 为 payload
进行后续的TLS握手
握手完成后进行 http 通信时,攻击者 TLS Server 返回 301 跳转
受害者客户端接收跳转,这次跳转时由于前面那一次 DNS 解析的结果为 TTL 0,则会再次发起一次解析请求 此时攻击者让 DNS 服务器返回解析结果为 SSRF 攻击的目标(例如本地的 memcache 数据库),且 TTL 为 0
因为请求和跳转时的域名都没有变更,本次跳转会带着之前服务端返回的精心构造过的 SessionID 进行(TLS 会话重用),发送到目标的那个端口上。
payload 被发送至 SSRF 攻击的目标,达到目的,成功 SSRF,但是因为会话重用失败,受害者客户端会得到一个 TLS Error 的错误。至此完成所有攻击步骤。
通过对 curl 解析 AAAA 和 A 记录的顺序进行利用(未复现成功)
在 CURL 中,对于一个域名,如果同时具有 A 记录和 AAAA 记录,那么 CURL 会去优先请求 AAAA 或者 A 记录所指向的地址,如果这些地址无法连接,则会尝试连接同时得到的 A 记录或者 AAAA 记录。
在某些情况下,会出现:
AAAA 记录地址不通,会连接到 A 记录地址上。
A记录地址不通,会连接到 AAAA 记录地址上。
第一个地址不通,则会尝试第二个地址。
那么我们可以这样做:
第一次让 CURL 去访问恶意的 HTTPS 服务器,拿到一个恶意的 SessionID,然后使恶意的 HTTPS 服务器无法接收新的连接
这时恶意的 HTTPS 给出第一次返回的结果,使其进行同域名跳转
目标跳转时会尝试进行新连接,目标发现恶意的HTTPS 服务器无法连接,则会尝试连接这个域名下的其他记录所指向的地址,并带上 SessionID
复现环境
https://github.com/glzjin/tlslite-ng
https://gitee.com/wendell_tong/tls_poison_study
双 A 记录
默认配置下,可以通过 0.0.0.0:11211 这个地址与 memcached 通信,对于返回的双 A 记录,一个配置为 TLS VPS IP ,另一个为 0.0.0.0 ,curl 每次都会优先使用 TLS VPS IP ,如果不能通信才会接着使用 0.0.0.0:11211
根据已知信息,我们可以让 curl 第一次建立链接,拿到我们分配的 payload 后,断开连接,让其第二次连接不通而去选择另外一个 IP
复现环境
https://github.com/ZeddYu/TLS-poison
TLS 1.2 Session Ticket
https://blog.zeddyu.info/2021/04/20/tls-poison/#use-the-optimization-method-to-deal-with-tls-12-session-ticket
https://blog.zeddyu.info/2021/04/20/tls-poison/#curl-session-ticket
TLS 1.2 Session ID
https://blog.zeddyu.info/2021/04/20/tls-poison/#use-the-optimization-method-to-deal-with-tls-12-session-id
Shadow-TLS
https://github.com/ihciah/shadow-tls
相关文章
UPNP
相关工具
CVE-2020-12695
POC | Payload | exp
VNC
相关文章
未授权访问漏洞
概述
VNC 是虚拟网络控制台 Virtual Network Console 的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司 AT&T 的欧洲研究实验室开发。VNC 是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。VNC 默认端口号为 5900、5901。VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制 target 主机。
MSF 模块
暴力破解
MSF 模块
密码破解
相关文章
相关工具
Other
Ripple20
描述
安全研究人员在由 Treck 开发的 TCP/IP 协议栈中发现了多个漏洞,这一系列漏洞统称为 Ripple20。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),涉及了众多供应商(包括 HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Baxter 等)。
这些漏洞源于 Ripple20 的多个协议(包括 IPv4、ICMPv4、IPv6、IPv6OverIPv4、TCP、UDP、ARP、DHCP、DNS 或以太网链路层)在处理网络报文发送时存在缺陷,其中包括四个严重漏洞,它们的 CVE 编号分别为 CVE-2020-11896、CVE-2020-11898、CVE-2020-11910、CVE-2020-11911。CVE-2020-11896(CVSS 评分 10)可导致远程执行代码,CVE-2020-11897(CVSS 评分 10)可导致越界写入,CVE-2020-11901(CVSS 评分 9)可导致远程执行代码,CVE-2020-11898(CVSS 评分 9.1)可导致泄露敏感信息。其它 15 个 Ripple20 漏洞的严重程度各异,CVSS 评分分别从 3.1 到 8.2。
相关文章
相关资源
POC | Payload | exp
AMNESIA33
描述
安全研究人员在多个被广泛使用的开源 TCP/IP 协议栈发现了多个漏洞,这一系列漏洞统称为 AMNESIA33。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),目前已知范围内涉及了超 150 家供应商以及数以百万计的设备。与 URGEN11 和 Ripple20 不同的是,AMNESIA33 影响的是多个开源 TCP/IP 协议栈,因此这些漏洞可以悄无声息地影响到无数个代码库、开发团队与各个公司的产品。目前已知的漏洞涉及到了智能家居、工厂 PLC、SCADA 设备与工控交换机,电力监控等设备。
这些漏洞存在于 uIP、FNET、picoTCP 和 Nut/Net 等开源协议栈上,影响 TCP/IP 协议栈的多个组件,包括 DNS、IPv6、IPv4、TCP、ICMP、LLMNR 和 mDNS 等。其中包括多个严重漏洞,它们的 CVE 编号分别为 CVE-2020-17437、CVE-2020-17443、CVE-2020-24338、CVE-2020-24336、CVE-2020-25111。
CVE-2020-17437(CVSS 评分 8.2)、CVE-2020-17443(CVSS 评分 8.2)可导致设备拒绝服务。CVE-2020-24338、CVE-2020-24336、CVE-2020-25111(这三个 CVSS 评分均为 9.8)都可导致远程代码执行 (RCE)。其它 28 个漏洞的严重程度各异,CVSS 评分分别从 4 到 8.2。
由于 IoT、OT、IT 设备供应链的特性,漏洞影响的设备众多,影响范围广且持续时间长,漏洞修复的实施较困难。同时,由于 uIP、picoTCP 开源协议栈已经不再维护,所以部分漏洞没有补丁,很多产品只能寻找替代技术方案或者是增加防范措施。
相关文章
NAT Slipstreaming
https://github.com/samyk/slipstream/ - NAT Slipstreaming allows an attacker to remotely access any TCP/UDP services bound to a victim machine, bypassing the victim’s NAT/firewall, just by the victim visiting a website
相关文章